スマートフォン等外から自宅へアクセスできるようにVPNの設定を追加する。
設定方法は以下の公式サイトを参照した
自宅のISPは動的IPでの契約のため、まずはDDNSの設定を有効にする
XG Firewallの設定画面にログインして【ネットワーク】-【ダイナミックDNS】の画面に移動
【ホスト名】は【任意の文字列】+【myfirewall.co】
【インターフェース】はWan側のPortBを選択
サービスプロバイダはいくつかあるが、今回は【Sophos】を選択
これで保存すればDDNSが有効になる
【インターフェース】はWan側のPortBを選択
サービスプロバイダはいくつかあるが、今回は【Sophos】を選択
これで保存すればDDNSが有効になる
VPNの設定は公式のドキュメントに沿って進める
■VPNグループとユーザ作成
【認証】-【グループ】からVPNグループとユーザを定義する
【グループ名】に名称を設定、後で管理しやすいように分かりやすい名前に
【認証】-【ユーザ】からVPN接続用ユーザを作成
【ユーザ名】と【名前】は同じ方が管理しやすいかな
【パスワード】は適当に8桁以上ならいいか
【ユーザの種類】は外から色々アクセスする用に【管理者】
【グループ】は上で作ったグループをプルダウンから選択
■VPN範囲の定義
【ホストとサービス】-【IPホスト】でVPNユーザがアクセスするローカル側のレンジを指定
今回は【名前】をLocal_hostとしてLAN機器のNWアドレスを設定
【ホストとサービス】-【IPホスト】でVPN側のレンジを指定
default値は【10.81.234.5 - 10.81.234.55】なのでとりあえずそのまま利用
もしこのあたりのレンジも変更するのであれば【VPN】の設定画面上部の
【VPN設定を表示】から詳細な設定が変更できる
■VPNポリシーの定義
【VPN】-【SSLVPN(リモートアクセス)】でポリシーの作成
【名前】は任意
【ポリシーメンバー】には上で作成したVPNグループやVPNユーザを登録
外部からXG Firewall経由でインターネットアクセスを行いたいので、
【デフォルトゲートウェイとして使用】を【on】にする
■VPN向けの許可ゾーン確認
【管理】-【デバイスのアクセス】のローカルサービスACLで
【VPN】からアクセスするサービスを確認
GUI操作などだけなら【HTTPS】のみチェックで良い模様
WiFiはSophos製無線AP用なので全てチェックを解除し、
DMZも利用していないので全てチェックを解除した
■ファイアウォールルールの作成
【ファイアウォール】に移動して【ファイアウォールルールの追加】で新規ルールを作成する
まずVPNからローカルホスト側へのアクセスルールの作成
【ルール名】は任意
【送信元ゾーン】は【VPN】を選択し、【送信元ネットワークとデバイス】は
上で作成したVPNグループを選択
【宛先ゾーン】は【LAN】を選択し、【宛先ネットワーク】はVPN範囲の定義で作成したLocal_hostをプルダウンから選択
次にVPNからXG Firewall経由でのインターネットアクセスルールを作成
【ルール名】は任意
【送信元ゾーン】は【VPN】を選択し、【送信元ネットワークとデバイス】は
上で作成したVPNグループを選択
【宛先ゾーン】は【WAN】を選択し、【宛先ネットワーク】は【any】とする
これでVPN接続してXG Firewall経由でインターネットにもアクセスできるようになる
■VPNクライアントのダウンロード
XG FirewallのIPにポート番号443を付与してアクセス
今回は【192.168.1.1:443】
ここは公式ドキュメントが間違えているみたい
ログインIDとパスワードは上記で作成したVPNユーザのものを利用
とりあえずダウンロードページからOpenVPN用のプロフィールをダウンロードしてスマートフォンへ転送してOpneVPNアプリで設定すれば完了
FWの設定が結構見やすくていいけど、グループじゃなくてIP毎とか個別に設定する場合でも、それぞれ作らないといけないのは少し手間かな
FWルール自体も自動的にグルーピングしてくれるので後で管理するのは楽な気がする